Découverte : Auto-enquête sur les comptes de service Agent Engine

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

Des identifiants de compte de service sont utilisés pour examiner les rôles et les autorisations associés à ce même compte de service, initiés par un agent déployé sur Vertex AI Agent Engine. Ce résultat indique que les identifiants du compte de service pourraient être compromis et qu'une action immédiate doit être effectuée.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Discovery: Agent Engine Service Account Self-Investigation, comme indiqué dans la section Examiner les détails des résultats plus haut sur cette page. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.

2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :
     • Gravité : niveau de risque attribué au résultat. La gravité est définie sur HIGH si l'appel d'API qui a déclenché ce résultat n'est pas autorisé. Le compte de service n'est pas autorisé à interroger ses propres autorisations IAM avec l'API projects.getIamPolicy.
     • Adresse e-mail du compte principal : compte de service potentiellement compromis.
     • Adresse IP de l'appelant : adresse IP interne ou externe
   • Ressource concernée, en particulier le champs suivant :
     • Nom complet de la ressource :
     • Nom complet du projet : projet contenant les identifiants de compte potentiellement divulgués.
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les éventuels résultats associés.
   1. Pour afficher le code JSON complet du résultat, cliquez sur l'onglet JSON.

Étape 2 : Vérifier les autorisations des projets et des comptes de service

1. Dans la console Google Cloud , accédez à la page IAM.

   Accéder à IAM

2. Si nécessaire, sélectionnez le projet indiqué dans le champ projectID du JSON du résultat.

3. Sur la page qui s'affiche, dans la zone Filtre, saisissez le nom du compte qui figure dans Adresse e-mail du compte principal et vérifiez les autorisations attribuées. Si vous ne voyez pas le compte de service, il s'agit peut-être d'un compte de service Vertex AI Agent Engine fourni par Google. Dans ce cas, sélectionnez Inclure les attributions de rôles fournies par Google pour afficher le compte de service.

4. Pour le compte de service Vertex AI Agent Engine non fourni par Google, accédez à la page Comptes de service de la console Google Cloud .

   Accéder à la page "Comptes de service"

5. Pour le compte de service Vertex AI Agent Engine non fourni par Google, sur la page qui s'affiche, dans le champ Filtre, saisissez le nom du compte de service compromis et vérifiez ses clés ainsi que les dates de création des clés.

Étape 3 : Vérifier les journaux

1. Dans l'onglet Résumé du panneau de détails du résultat, cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.
2. Si nécessaire, sélectionnez votre projet.
3. Sur la page qui s'affiche, vérifiez si les journaux contiennent des activités de ressources IAM nouvelles ou mises à jour à l'aide des filtres suivants :
   • proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount"
   • protoPayload.methodName="SetIamPolicy"
   • protoPayload.authenticationInfo.principalEmail="principalEmail"

Étape 4 : Rechercher des méthodes d'attaque et de réponse

1. Examinez l'entrée du framework MITRE ATT&CK pour ce type de résultat : Découverte de groupes d'autorisations : Groupes Cloud.
2. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 5 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par le résultat.

• Contactez le propriétaire du projet utilisant le compte compromis.
• Si le compte de service compromis est un compte de service Vertex AI Agent Engine fourni par Google, vous ne pouvez pas le supprimer directement. Dans ce cas, limitez les autorisations du compte de service au minimum requis. Sinon, supprimez le compte de service compromis et alternez toutes les clés d'accès au compte de service du projet compromis afin de les supprimer. Après la suppression, les ressources qui utilisent le compte de service pour l'authentification perdront l'accès.
• Supprimez les ressources de projet créées par le compte compromis telles que les instances Compute Engine, les instantanés, les comptes de service et les utilisateurs IAM inconnus.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.